8 Июля 2022 ITSOFT 142571 1 571 0 В избр. Сохранено

Пен-тест: как проникнуть в дата-центр … через туалет

Penetration test (pentest или пен-тест) — тестирование на проникновение в помещение с целью проверки системы безопасности объекта на физическую уязвимость. Такому тесту подверг центр обработки данных специалист по кибербезопасности Эндрю Тирни.

Мнение автора может не совпадать с мнением редакции

Отчет о проделанной работе Andrew Tierney разместил в серии твитов под ником @cybergibbons.

«Один из моих любимых экспериментов — физический доступ в центр обработки данных через туалеты. Позволь объяснить. Мне нужно было получить доступ с менее защищенной стороны подвального этажа в более защищенную зону».

Изучив открытые планировочных документы Андрю нашел поэтажный план здания и обнаружил, что туалеты спроектированы со легкосъемными панелями и имеют небольшой коридорчик вдоль задней стороны каждого ряда кабинок для доступа сантехников. И этот коридор сопрягался с «защищенным» офисом центра обработки данных.

"Получив доступ к общедоступной стороне, я вошел в туалет. Из доступной кабинки в коридор вела скрытая дверь. Я открыл ее и пошел дальше. Убедившись (не вру), что в другой дальней кабинке никого нет, я вошел на охраняемую территорию центра обработки данных.

Это помогло мне обойти ворота-ловушки и все цифровые охранные устройства. Таким образом я физически хакнул (в оригинале твита более жесткое выражение) дата-центр."

В комментариях к серии твитов пользователи вспомнили и другие ошибки проектирования, с которыми они сталкивались. Например, отсутствие перегородок между общественной и закрытой зонами в пространстве над подвесным потолком и под полом или установка дверей петлями наружу так, что петельные штыри можно было снять без проблем.

===

О проникновении в дата-центр мы уже публиковали материал, в котором приводится пример, как «взломщики» представившись фирмой по уничтожению тараканов облазили все уголки ЦОДа. Правда там использовались методы социальной инженерии — подробно этот случай указан в статье «Баги дата-центра».

Вообще, физической безопасности посвящено много статей и в этом вопросе идет традиционная борьба методов взлома и защиты. Например, некоторые ЦОДы для хранения и обработки сверх критичных данных оборудуют специальные сейфовые комнаты. Но победителей в кибервойне вероятно не будет, поэтому ждем новые случаи взлома, в том числе такие забавные (на первый взгляд), как проникновение в дата-центр через туалет.

Материал подготовлен дата-центром ITSOFT

В избр. Сохранено